银行信息科技信息系统分级管理办法模版.docx

1、银行信息科技信息系统分级管理办法随着信息技术的高速发展和网络应用的迅速普及，信息系统的基础性、全局性作用日益增强，信息资源更成为国家经济建设和社会发展的重要战略资源之一。为了满足某银行信息安全发展需要，特制定信息系统分级管理办法。信息系统分级管理办法的监管级别划分为五个级别。第一级、用户自主保护级完全由用户自己来决定如何对资源进行保护，以及采用何种方式进行保护。第二级、系统审计保护级本级的安全保护机制受到信息系统等级保护的指导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和

2、安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自己行为的合规性负责。第三级、安全标记保护级除具有第二级系统审计保护级的所有功能外，还它要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限实现对访问对象的强制访问控制。第四级、结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的存取，使之具有相当的抗渗透

3、能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。第五级、访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动，仲裁访问者能否访问某些对象从而对访问对象实行专控，保护信息不能被非授权获取。因此本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。在等级保护的实际操作中，强调从五个部分进行保护，即：物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等。支撑系统：包括计算机系统、操作系统、数据库系统和通信系统。网络部分：包括网络的

4、拓扑结构、网络的布线和防护、网络设备的管理和报警，网络攻击的监察和处理。应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管理和访问控制，密码保护机制和信息存储管理。管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度，人员的管理和培训、教育制度设备的管理和引进、退出制度，环境管理和监控，安防和巡查制度，应急响应制度和程序，规章制度的建立、更改和废止的控制程序。由这五部分的安全控制机制构成系统整体安全控制机制。此处所指信息系统是指某银行正式投产的各种业务生产系统以及程序开发所使用的系统环境。根据信息系统的使用范围和重要性，将某银行所有的信息系统分为三级。一级系统使用范

5、围最广、影响力最深，包括：综合业务系统、卡业务系统、支付系统、代收付、反洗钱系统、身份证联网核查、支票影像系统、电电子商业汇票系统等；二级系统使用范围和影像力次之，包括：信贷管理系统、个人征信、企业征信、1104系统、数据上报平台、后台管理系统、对账系统等；三级系统影响力较低或只为本行内部使用，包括OA办公系统、运维管理系统等。本办法适用人员为某银行所有科技人员。科技部门负责的每一个信息系统都要建立A、B双岗负责制度，即每个系统都由A、B两人进行管理。A岗人员为主要负责人，B岗人员为次要负责人。各生产系统只能由负责该系统的A岗科技人员进行登陆及相关操作，A岗负责人不在岗时，可由B岗人员进行操作

6、。各系统负责人员（A、B岗）均不得任意删除、更改、增加所负责系统的生产程序、数据及其它相关文件。确实需要新增、更改和删除程序或数据的，要在生产系统变更登记簿上进行登记，部门负责人签字确认后方可进行操作。开发环境的程序可根据实际情况进行更改和增加，但不得删除，修改前必须备份原程序。处于开发阶段，还未正式投产的系统在修改、删除、新增时可以不进行登记，由系统负责人自行做好程序的备份。各系统负责人员（A岗）要对所负责系统的程序、数据库进行定期备份，备份时要由B岗负责协助和监督。备份完成后，要进行登记，并分别由A、B岗签字确认。备份的程序要由备份人员安全、妥善保存。对于所有备份的生产系统的数据要安全、妥

7、善保存，不得进传播、毁坏、删改等危险操作，也不能任意使用该数据。根据实际工作情况，确实需要使用生产系统数据的，要进行登记，经部门负责人签字后方可使用。不得任意使用PLSQL对各生产系统的数据库进行登陆。根据业务需要，确实需要使用PLSQL进行登陆的，要到各组指定安装PLSQL的计算机上进行，操作时必须由B岗人员进行监督。在对生产系统进行操作时，不得使用高风险的命令，如rm*、rm-rf、shutdown、stop、mv等命令。不得随意修改各生产、开发系统的用户权限、用户密码、文件权限、文件属性。不得随意修改各服务器的系统参数等信息。二*年六月三十日某银行信息科技信息系统密钥管理制度第一节总则为

8、规范和加强我行信息系统密钥管理，保证银行信息系统数据安全，制定本密钥管理制度。术语定义总行信息系统密钥：指总行所辖范围内所有信息系统所使用的对称密钥。第三方信息系统密钥：指与行外机构约定由我行制作的与行外机构互联信息系统行外机构端系统所使用的对称密钥。总行密钥管理必须遵照本制度规定开展密钥管理工作，执行以下原则：集中制作：总行召集各相关密钥管理人员定期在总行集中制作各类信息系统密钥。统一存放：各类密钥必须统一存放在行内密钥专用保险柜中。分权管理：同一密钥的多个成份应由对应数量的密钥管理人员分别管理。过程控制：建立完善的监督控制机制，合法、合规执行密钥管理过程中各项操作。及时更新：对存在风险的密

9、钥必须及时更新。第二节密钥管理内容和范围总行密钥管理内容和范围负责总行及第三方信息系统密钥的制作和申请等。管理、接收、销毁总行信息系统各类密钥明文码单、密钥备份文件、密钥备份IC卡。在专用硬件设备和系统上实地注入由总行信息系统密钥。第三节总行密钥管理部门的职责及岗位设置对口业务管理部门和科技开发部为总行的密钥管理部门，设置专门岗位管理密钥。总行相关业务部门负责发起本行、第三方信息系统密钥的制作申请、接收申请、使用申请、销毁申请工作，负责组织协调科技开发部密钥管理岗完成本部门主管信息系统密钥的各项操作工作。总行科技开发部岗位设置及职责密钥管理协调岗工作职责负责受理和制作总行及第三方信息系统密钥制

10、作申请；负责信息系统密钥体系发展的技术跟踪，为密钥管理的适时调整提供建议和依据。密钥管理岗工作职责审核总行业务部门提出的由总行科技开发部具体负责管理密钥分量的制作、接收、使用、销毁申请；负责制作、使用、销毁总行信息系统密钥第三段明文码单，并负责制作、使用、销毁上述密钥备份件。审计部负责依据本制度对全行密钥管理相关工作进行独立监督检查，并根据审计结果提出意见和建议。第五节人员管理总行密钥管理部门密钥管理岗位发生人员更换，必须在该机构密钥管理协调岗监督下，完成密钥交接。总行密钥管理部门应在部门内为密钥管理相关岗位指定备用人员，备用人员必须熟悉该岗位各项业务，当紧急情况下密钥管理人员不能履行职责，经本部门负责人授权，可由备用人员完成相应工作。第六节附则本制度由某银行科技开发部负责解释，本制度自印发之日起执行。二*年六月三十日